ФорумПрограммированиеPHP для идиотов → Уязвимости и mysql инъекции

Уязвимости и mysql инъекции

  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz Апрель 11, 2009, 8:53 д.п., спустя 1 час 31 минуту 21 секунду

    Professor, если парсер напишут специально для тебя, поможет только каптча)
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Апрель 11, 2009, 8:54 д.п., спустя 54 секунды

    очень спорное утверждение …
    Сапожник без сапог
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Апрель 11, 2009, 8:55 д.п., спустя 29 секунд

    я бы сказал что поможет только отдавать весь сайт в картинке поможет …
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 11, 2009, 9:23 д.п., спустя 27 минут 46 секунд

    Есть какая нить капча которая еще не взломана? Или свою писать?
    Какие советы по написанию не пробиваемой капчи дадите?
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 11, 2009, 11:11 д.п., спустя 1 час 48 минут 47 секунд

    Отправка email с сайта

    Для сокрытия адреса почтового ящика от спамеров часто используются форму обратной связи, информация из которой поступает серверному скрипту, который уже сам отправляет почту адресату по известному только скрипту адресу, к примеру, php-функцией mail.

    Функция mail позволяет отправлять письмо, указывая ему дополнительные заголовки, в которых можно прописать, в частности, адрес отправителя. В самом деле, почему бы не спросить у отправителя его почтовый адрес, чтобы ему в случае чего сразу отправить ответ через "Reply".

    Итак, ловим данные и передаем их в функцию mail (обратный адрес из формы в переменной $sender_email):

    mail ($admin_email, 'Письмо с сайта', $message, "From: ".$sender_email);

    В чем тут проблема: дело в том, что последний аргумент функции mail представляет собой разделенные символами перевода строки заголовки. Нам кажется, что заголовок один — "From". Но представим, что хакер написал в качестве обратного адреса такой набор символов:

    [email protected]
    Cc: [email protected]

    Пусть вас не смущает, что данные введены в 2 строки, а в форме отправки для email было однострочное поле, не дающее писать текст в несколько строк. Как уже упоминалось во введении, все данные, поступающие снаружи, можно подделать. Так что данное письмо будет отправлено не только нам, но и на те email-адреса, который хакер укажет в "Cc:" или "Bcc:" (а он их там может указать сотню). И вот получите ситуацию — через нас рассылают спам.

    Решение очевидно — запрещать отправку писем, если во введенном email-адресе используются символы перевода строки (\n и \r).

    Мля не знал =) В скором времени надо будет рассылку кодить, вот и пригодилось =)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 11, 2009, 3:52 п.п., спустя 4 часа 40 минут 42 секунды

    На сколько такая капча уязвима по 10 бальной шкале (где 1 любой школьник взломает)
    http://n-professor.ru/captcha.php
    И на сколько читабельна?
    Или полностью другой подход нужен?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Апрель 11, 2009, 5:50 п.п., спустя 1 час 58 минут 15 секунд

    Professor, скрипт заюзал чейто
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 12, 2009, 2:32 д.п., спустя 8 часов 42 минуты 8 секунд

    А что там юзать?
    Картинка, на нее текст и все.
    Я на captcha.ru почитал как взалымают капчи, и сделал растояние между буквами минимальное. и шриффт клевый взял =)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 12, 2009, 4:24 д.п., спустя 1 час 51 минуту 58 секунд

    Немного доделал капчу. Наверно такую и оставлю
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 12, 2009, 7:49 д.п., спустя 3 часа 24 минуты 57 секунд

    Теперь вопрос как эту капчу выводить?

    Создавать каждый раз картинку и сохранять ее на сервере или…
    Или я не знаю как подругому =(
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 12, 2009, 7:58 д.п., спустя 8 минут 15 секунд

    Все, вопрос решен =)
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz Апрель 12, 2009, 8:38 д.п., спустя 40 минут 33 секунды

    Professor, и каким образом? :)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz Апрель 12, 2009, 10:05 д.п., спустя 1 час 26 минут 43 секунды

    Как доделаю, в своюодное время статью напишу для пыхи. в F.A.Q.
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz Апрель 12, 2009, 10:35 д.п., спустя 29 минут 37 секунд


    Как доделаю, в своюодное время статью напишу для пыхи. в F.A.Q.

    буду ждать с нетерпением :)
  • Karlovich

    Сообщения: 39 Репутация: N Группа: Кто попало

    Spritz Апрель 13, 2009, 8:40 п.п., спустя 1 день 10 часов 5 минут

    Professor блог пишешь? скорей откравай, чуствую там уязвимостей будет))) похекаем тебя :D

Пожалуйста, авторизуйтесь, чтобы написать комментарий!